Konfigurace koncového bodu příkazu DELL pro Microsoft Intune

Informace o produktu

Specifikace:

• Název produktu: Dell Command | Konfigurace koncového bodu pro Microsoft Intune
• Verze: Březen 2024 Rev. A00
• Funkčnost: Spravujte a konfigurujte nastavení systému BIOS pomocí Microsoft Intune

Návod k použití produktu

Kapitola 1: Úvod
Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) umožňuje snadnou a bezpečnou správu a konfiguraci nastavení BIOSu prostřednictvím Microsoft Intune. Využívá binární velké objekty (BLOB) k ukládání dat, konfiguraci nastavení BIOSu bez dotyku a udržování jedinečných hesel. Podrobnější informace o Microsoft Intune najdete v dokumentaci ke správě koncových bodů v Microsoft Learn.

Kapitola 2: Konfigurace BIOS Profile
Vytvoření a přiřazení konfigurace BIOS Profile:

1. Vytvořte konfigurační balíček systému BIOS jako binární velký objekt (BLOB) pomocí příkazu Dell | Konfigurovat.
2. Přihlaste se do centra pro správu Microsoft Intune pomocí příslušného účtu, který má zásady a Profile Role manažera přidělena.
3. Přejděte do části Zařízení > Konfigurace v centru pro správu.
4. Klikněte na Zásady a poté na Vytvořit Profile.
5. Jako platformu vyberte Windows 10 a novější.
6. Vyberte Šablony v Profile typ.
7. V části Název šablony vyberte položku Konfigurace systému BIOS.
8. Kliknutím na Vytvořit vytvoříte konfiguraci systému BIOSfile.

FAQ

• Otázka: Kde najdu další informace o instalaci Dell Command | Konfigurace koncového bodu pro Microsoft Intune?
  A: Instalační příručka pro Dell Command | Endpoint Configure for Microsoft Intune je k dispozici na stránce dokumentace Dell Command | Konfigurace koncového bodu pro Microsoft Intune.
• Otázka: Jak mohu řešit problémy s Dell Command | Konfigurace koncového bodu pro Microsoft Intune?
  Odpověď: Část Log Location v kapitole 4 uživatelské příručky poskytuje informace o metodách odstraňování problémů se softwarem.

Poznámky, upozornění a varování

• POZNÁMKA: POZNÁMKA označuje důležité informace, které vám pomohou lépe využívat váš produkt.
• POZOR: UPOZORNĚNÍ označuje potenciální poškození hardwaru nebo ztrátu dat a říká, jak se problému vyhnout.
• VAROVÁNÍ: VAROVÁNÍ označuje potenciální poškození majetku, zranění osob nebo smrt.

© 2024 Dell Inc. nebo její dceřiné společnosti. Všechna práva vyhrazena. Dell Technologies, Dell a další ochranné známky jsou ochranné známky společnosti Dell Inc. nebo jejích dceřiných společností. Ostatní ochranné známky mohou být ochrannými známkami příslušných vlastníků.

Zavedení

Úvod do Dell Command | Konfigurace koncového bodu pro Microsoft Intune (DCECMI):
Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) umožňuje snadno a bezpečně spravovat a konfigurovat BIOS pomocí Microsoft Intune. Software používá binární velké objekty (BLOB) k ukládání dat, konfiguraci a správě nastavení systému BIOS společnosti Dell bez nutnosti dotyku a k nastavení a správě jedinečných hesel.
Další informace o Microsoft Intune najdete v dokumentaci ke správě koncových bodů v Microsoft Learn.

Další dokumenty, které můžete potřebovat
Příkaz Dell | Instalační příručka Endpoint Configure for Microsoft Intune poskytuje informace o instalaci Dell Command | Konfigurace koncového bodu pro Microsoft Intune na podporovaných klientských systémech. Příručka je k dispozici na adrese Dell Command | Stránka dokumentace Endpoint Configure for Microsoft Intune.

Konfigurace BIOSu profile

Vytvoření a přiřazení konfigurace systému BIOSfile
Jakmile je konfigurační balíček systému BIOS vytvořen jako binární velký objekt (BLOB), správce Microsoft Intune jej může použít k vytvoření profesionála pro konfiguraci systému BIOS.file. Profesionálfile lze vytvořit prostřednictvím Microsoft Intune Admin Center pro správu komerčních klientských systémů Dell v prostředí IT.

O tomto úkolu
Můžete vytvořit konfigurační balíček systému BIOS (.cctk) file pomocí Dell Command | Konfigurovat. Viz Vytvoření balíčku BIOS v Dell Command | Konfigurace uživatelské příručky na Podpora | Dell pro více informací.

Kroky

1. Přihlaste se do Centrum pro správu Microsoft Intune pomocí účtu Intune se Zásadami a Profile Možnost přiřazení role manažera.
2. Přejděte na Zařízení > Konfigurace.
3. Klepněte na položku Zásady.
4. Klikněte na Create Profile.
5. Z rozevíracího seznamu Platforma vyberte Windows 10 a novější.
6. Vyberte Šablony v Profile zadejte z rozevíracího seznamu Platforma.
7. V části Název šablony vyberte Konfigurace systému BIOS.
8. Klikněte na Vytvořit. Konfigurace systému BIOS profile začíná tvorba.
9. Na kartě Základy v části Vytvořit konfigurace systému BIOS profile na stránce, zadejte Jméno profesionálafile a Popis. Popis je volitelný.
10. Na kartě Konfigurace na Vytvořit konfigurace systému BIOS profile vyberte Dell v rozevíracím seznamu Hardware.
11. Vyberte kteroukoli z následujících možností pro Deaktivovat ochranu heslem pro zařízení:
    • Pokud vyberete NE, Microsoft Intune odešle jedinečné náhodné heslo správce systému BIOS pro každé zařízení, které se použije na zařízení.
    • Pokud vyberete ANO, vymaže se dříve použité heslo správce systému BIOS nastavené prostřednictvím pracovního postupu Microsoft Intune.
      POZNÁMKA: Pokud není heslo správce systému BIOS nastaveno prostřednictvím pracovního postupu Microsoft Intune, pak nastavení ANO udržuje zařízení ve stavu bez hesla.
12. Nahrajte konfigurační balíček systému BIOS v části Konfigurace file.
13. Na kartě Assignments na stránce Create BIOS configurations profile klikněte na Přidat skupiny v části Zahrnuté skupiny.
14. . Vyberte skupiny zařízení, do kterých chcete balíček nasadit.
15. Tamview záložka Create BIOS configurations profile stránka, review podrobnosti o vašem balíčku BIOS.
16. Kliknutím na Vytvořit balíček nasadíte.
    POZNÁMKA: Jakmile BIOS Configuration Profile je vytvořen, profile je nasazena do cílových skupin koncových bodů. Agent DCECMI jej zachytí a bezpečně použije.

Kontrola stavu nasazení BIOS Configuration Profile
Chcete-li zkontrolovat stav nasazení BIOS Configuration Profile, proveďte následující:

Kroky

1. Přejděte do centra pro správu Microsoft Intune.
2. Přihlaste se pomocí uživatele, který má Zásady a Profile Role manažera přidělena.
3. V navigační nabídce vlevo klikněte na Zařízení.
4. Vyberte Konfigurace v části Spravovat zařízení.
5. Vyhledejte Zásady konfigurace systému BIOS, které jste vytvořili, a kliknutím na název zásady otevřete stránku s podrobnostmi. Na stránce podrobností můžete view stav zařízení – Úspěšné, Chyba, Nevyřízeno, Neznámé, Nelze použít.

Důležité aspekty při nasazování konfigurace systému BIOSfile

• Použijte jednu konfiguraci systému BIOSfile pro skupinu zařízení a v případě potřeby ji aktualizujte, namísto vytváření profesionálafile pro danou skupinu zařízení.
• Nezaměřujte se na více BIOS Configuration Profiles do stejné skupiny zařízení.
• Použití jednoho profíka na konfiguraci BIOSufile předchází konfliktům mezi více profesionályfiles, které jsou přiřazeny ke stejné skupině koncových bodů.
• Nasazení více profíkůfiles na stejnou skupinu koncových bodů způsobí spor a vede ke konfliktnímu stavu konfigurace systému BIOS.
  • V souboru EndpointConfigure.log se také zobrazí chybová zpráva o zjištění možného útoku opakovaného přehrávání. Další podrobnosti naleznete v části Umístění protokolu pro odstraňování problémů.
  • Na portálu Intune se chybová zpráva zobrazí jako Ověření metadat se nezdařilo. Další podrobnosti najdete v části Ověření metadat se nezdařilo v části Časté dotazy.
• Pro aktualizaci stávajícího profíkafile, proveďte následující na kartě Vlastnosti konfiguračního programu BIOSfile:
  1. Klikněte na Upravit.
  2. Upravit Zakázat ochranu heslem pro zařízení nebo konfiguraci file nahráním nové konfigurace .cctk file. Úprava jedné nebo obou výše uvedených možností aktualizuje profesionálafile verzi a spouští profile přemístění do přiřazené skupiny koncových bodů.
  3. Klepněte na tlačítko Review + tlačítko uložit.
     V další záložce review podrobnosti a klikněte na Uložit.
• Neupravujte BIOS Configuration Profiles ve stavu Nevyřízeno.
  • Pokud již existuje BIOS Configuration Profile který je nasazen do skupin koncových bodů a stav se zobrazuje jako Čeká na vyřízení, neaktualizujte tuto konfiguraci BIOSu Profile.
  • Nesmíte aktualizovat, dokud se stav nezmění z Nevyřízeno na Úspěšně nebo Neúspěšně.
  • Úpravy mohou způsobit konflikty a následnou konfiguraci BIOSu Profile selhání verzí. Někdy může dojít k selhání synchronizace hesla BIOS a nemusíte být schopni vidět nově použité heslo systému BIOS.
• Při správě hesel pomocí uživatelského rozhraní Microsoft Intune Admin Center mějte na paměti následující:
  • Pokud vyberete NE pro možnost Zakázat ochranu heslem na zařízení, Intune odešle náhodné heslo správce systému BIOS, které se použije na zařízení.
  • Pokud vyberete možnost ANO pro možnost Zakázat ochranu heslem na zařízení, dříve použité heslo správce systému BIOS prostřednictvím pracovního postupu Intune se vymaže.
  • Pokud nebylo dříve prostřednictvím pracovního postupu Intune použito žádné heslo správce systému BIOS, pak toto nastavení pomáhá udržovat zařízení ve stavu bez hesla.
• Společnost Dell Technologies doporučuje používat Intune Password Manager pro správu hesel systému BIOS, protože aplikace poskytuje vynikající zabezpečení a správu.

Správa BIOSu Dell

Microsoft Graph API pro správu systému Dell BIOS

Aby bylo možné používat grafová rozhraní API pro správu Dell BIOS Management, aplikace musí mít přiřazeny následující rozsahy:

• DeviceManagementConfiguration.Read.All
• DeviceManagementConfiguration.ReadWrite.All
• DeviceManagementManagedDevices.PrivilegedOperations.All

Pro správu systému Dell BIOS lze použít následující grafová rozhraní API:

• Vytvořte konfiguraci hardwaru
• přiřadit akci Konfigurace hardwaru
• Seznam hardwarových konfigurací
• Získejte konfiguraci hardwaru
• Smazat konfiguraci hardwaru
• Aktualizujte konfiguraci hardwaru

Pro správu hesel systému Dell BIOS lze použít následující grafová rozhraní API:

• Vypsat informace o heslu hardwaru
• Získejte informace o heslu hardwaru
• Vytvořte informace o hardwarovém heslu
• Smazat informace o hardwarovém heslu
• Aktualizujte informace o heslu hardwaru

Použití rozhraní Graph API k ručnímu načtení hesla Dell BIOS

• Předpoklady
  Ujistěte se, že používáte Microsoft Graph Explorer.
• Kroky
  1. Přihlaste se do Průzkumníka Microsoft Graph pomocí přihlašovacích údajů globálního správce Intune.
  2. Změňte API na beta verzi.
  3. Vypište informace o hardwarových heslech všech zařízení, která používají URL https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo.
  4. Klepněte na tlačítko Upravit oprávnění.
  5. Povolte DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All a DeviceManagementManagedDevices.PrivilegedOperations.All.
  6. Klepněte na tlačítko Spustit dotaz.
     Informace o hardwarových heslech všech zařízení, aktuální heslo a seznam předchozích 15 hesel jsou uvedeny v čitelném formátu v Response preview.

Důležité informace

• Správci systému mohou používat Průzkumníka Microsoft Graph nebo vytvářet skripty PowerShell pomocí PowerShell SDK pro Microsoft Intune Graph API z Galerie PowerShell k načtení informací o heslu systému Dell BIOS.
• Rozhraní API pro správu hesel Dell BIOS také podporují filtry. NapřampChcete-li získat informace o hardwarovém heslu konkrétního zařízení pomocí sériového čísla, přejděte na adresu https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?$filter=serialNumber.
  POZNÁMKA: Podporována jsou pouze rozhraní List hardwarePasswordInfos a Get hardwarePasswordInfo API. Rozhraní API Create hardwarePasswordInfo, Delete hardwarePasswordInfo a Update hardwarePasswordInfo nejsou nyní podporovány.

Log Location for Troubleshooting

Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) implementuje file logovací funkce. Pro DCECMI můžete použít podrobné protokoly.
Protokol file je k dispozici na C:\ProgramData\Dell\EndpointConfigure. The file název je EndpointConfigure.log.

Chcete-li povolit podrobné protokoly, postupujte takto:

1. Přejděte do umístění registru HKLM\Software\Dell\EndpointConfigure\.
2. Vytvořte klíč registru DWORD 32 s názvem LogVerbosity.
3. Přiřaďte mu hodnotu 12.
4. Restartujte DCECMI a sledujte podrobné protokoly.

Tabulka 1. protokoly DCECMI

Výřečnost Hodnota	Zpráva	Popis
1	Fatální	Došlo ke kritické chybě a systém je považován za nestabilní.
3	Chyba	Došlo k závažné chybě, která není považována za závažnou.
5	Varování	Upozornění pro uživatele.
10	Informační	Tato zpráva je pro informační účely.
12	Mnohomluvné	Další informační zprávy, které lze protokolovat a viewed v závislosti na úrovni výřečnosti.

Často kladené otázky

• Jak mohu přepnout na heslo spravované Intune nebo AAD, když již mám heslo systému BIOS?
  • Intune neposkytuje způsob, jak vložit počáteční heslo do AAD.
  • Chcete-li přepnout na heslo spravované Intune nebo AAD, vymažte stávající heslo systému BIOS pomocí stejné metody, která se používá k nastavení hesla systému BIOS.
    POZNÁMKA: Společnost Dell Technologies nemá hlavní heslo a nemůže obejít heslo zákazníka.
• Jak získám heslo pro zařízení, které musím ručně opravit?
  Microsoft Intune nezobrazuje heslo ve vlastnostech zařízení. Další informace naleznete v části Používání rozhraní Graph API k ručnímu načtení hesla Dell BIOS.
  POZNÁMKA: Podporovány jsou pouze seznam hardwarePasswordInfos a Get hardwarePasswordInfo.
• Jak předám jedinečné heslo pro každé zařízení společnosti Dell Command | Aktualizovat, aby mohl aktualizovat firmware?
  Dell Command | Aktualizace nepoužívá metodu aktualizace systému BIOS kapsle, která může bezpečně obejít heslo systému BIOS. Windows Update, Autopatch a Windows Update pro firmy používají metodu aktualizace systému BIOS kapsle Dell. pokud jste nasadili jedinečné heslo pro každé zařízení, můžete je použít. Ujistěte se, že je v nastavení systému BIOS povolena aktualizace systému Capsule BIOS.
• Jak mohu zabránit použití konfigurace systému BIOS profile na zařízení jiných výrobců než Dell?
  V současné době nejsou filtry v konfiguraci systému BIOS podporoványfile úkol. Místo toho můžete přiřadit skupinu vyloučení pro zařízení jiných výrobců než Dell.
  Chcete-li vytvořit skupinu dynamických vyloučení, postupujte takto:
  1. V centru pro správu Microsoft Intune přejděte na Domů > Skupiny | Všechny skupiny > Nová skupina.
  2. V rozevíracím seznamu Typ členství vyberte Dynamické zařízení.
  3. Vytvořte dynamický dotaz podle pravidel dynamického členství pro skupiny v pokynech Azure Active Directory Microsoft.
• Kde najdu protokoly pro ladění jakýchkoli problémů?
  Protokol Dell files naleznete zde: C:\ProgramData\dell\EndpointConfigure\EndpointConfigure<*>.log. log společnosti Microsoft files naleznete zde: C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\<*>.log
• Jak vyřeším chyby nahlášené agentem?
  Zde jsou některé chyby nahlášené agentem, které můžete vidět:
  • Agent nahlásil chybu: 65
    • Popis – Ke změně nastavení je vyžadováno heslo pro nastavení. Pro zadání hesla použijte –ValSetupPwd.
    • K tomuto problému dochází, když zařízení již má heslo systému BIOS. Chcete-li problém vyřešit, použijte správce hesel Intune BIOS a vymažte aktuální heslo systému BIOS pomocí příkazu Dell Command | Nástroj pro konfiguraci nebo přihlášením do nastavení systému BIOS. Poté nasaďte nový BIOS Configuration profile pomocí Intune s možností Zakázat ochranu heslem pro zařízení nastavenou na NE.
  • Agent nahlásil chybu: 58
    • Popis—Zadané heslo pro nastavení je nesprávné. Zkus to znovu.
    • Problém je pozorován při konfiguraci více BIOSůfiles se používají pro stejnou skupinu zařízení. Odstraňte další konfiguraci systému BIOSfiles, kterým se nedaří problém vyřešit.
    • Problém lze také pozorovat při konfiguraci systému BIOS profiles jsou upraveny, když je stav Nevyřízeno.
      POZNÁMKA: Další podrobnosti naleznete v části Důležité informace.
  • Ověření metadat se nezdařilo
    • Problém je pozorován, když dojde k jakýmkoli selháním při ověřování správnosti konfigurace BIOS Profile metadata.
    • Agent hlásí stav jako Selhalo s chybou Ověření metadat se nezdařilo.
    • Nejsou prováděny žádné konfigurace systému BIOS.
    • Chcete-li tento problém vyřešit, zkuste znovu nasadit BIOS Configuration Profilenebo odstraňte a vytvořte BIOS Configuration Profile na Microsoft Intune.
• Jak dekóduji návratový kód chyby z DCECMI v sestavě Microsoft Intune?
  Viz Dell Command | Nakonfigurujte chybové kódy na podpoře | Dell pro seznam všech chybových kódů a jejich význam.
• Jak povolím podrobné protokoly DCECMI pro odstraňování problémů?
  1. Přejděte do umístění registru HKLM\Software\Dell\EndpointConfigure\.
  2. Vytvořte klíč registru DWORD 32 s názvem LogVerbosity.
  3. Přiřaďte mu hodnotu 12.
  4. Restartujte Dell Command|Endpoint Configure pro Microsoft Intune-service z Services.msc a sledujte protokol C:\ProgramData\Dell\EndpointConfigure\EndpointConfigure.log pro podrobné zprávy.
     Viz Dell Command | Nakonfigurujte chybové kódy na podpoře | Dell pro seznam všech chybových kódů a jejich význam.
     Další informace najdete také v části Log Location for Troubleshooting.
• Jak nasadím DCECMI nebo vytvořím a nasadím aplikace Win32 z Microsoft Intune?
  Viz Dell Command | Konfigurace koncového bodu pro Microsoft Intune Instalační příručka na podpoře | Dell o tom, jak nasadit aplikaci DCECMI Win32 pomocí Microsoft Intune. Balíček automaticky naplní instalační příkazy DCECMI, příkazy pro odinstalaci a logiku detekce, jakmile jsou nahrány do aplikací Windows na Microsoft Intune.
• Pokud nechci používat zabezpečené náhodné heslo ze správce hesel Intune a místo toho použít CCTK files pro operace s heslem s mým vlastním heslem, je to povoleno?
  • Důrazně se doporučuje používat Intune Password Manager pro správu hesel systému BIOS kvůli výhodámtages nabízí.
  • Pokud je heslo nastaveno pomocí .cctk file a nepoužíváte Intune Password Manager, heslo se nepřepne na heslo spravované Intune nebo AAD.
  • Správce hesel Intune nezná nic, co souvisí s heslem systému BIOS nastaveným pomocí souboru .cctk file nebo ručně.
  • Heslo systému BIOS se zobrazuje jako null/prázdné, když se k načtení hesla systému BIOS používají rozhraní API Microsoft Graph.
• Kde jsou moje hesla uložena nebo synchronizována?
  Vámi vygenerovaná hesla v CCTK file, nejsou uloženy, synchronizovány ani spravovány Intune nebo Graph. Intune nebo Graph synchronizují nebo spravují pouze bezpečná, náhodná a jedinečná hesla pro jednotlivá zařízení, která jsou generována Intune pomocí přepínače Ano/Ne pro Zakázat ochranu heslem BIOSu pro zařízení.
• Ve kterých scénářích jsou profileje znovu spuštěn?
  • Konfigurace BIOSu profiles nejsou navrženy pro proaktivní nápravu v Intune.
  • Profesionálfile se po úspěšném použití na zařízení opakovaně nenasazuje. profíkfile je znovu nasazena pouze tehdy, když upravíte profile v Intune.
  • Můžete také upravit Vypnout ochranu heslem pro zařízení nebo Konfigurace file nahráním nové konfigurace .cctk file.
  • Úprava jedné nebo obou výše uvedených možností aktualizuje profesionálafile verzi a spouští profile přemístění do přiřazené skupiny koncových bodů.

Kontaktování společnosti Dell
Společnost Dell poskytuje několik možností online a telefonické podpory a služeb. Dostupnost se liší podle země a produktu a některé služby nemusí být ve vaší oblasti dostupné. Chcete-li kontaktovat společnost Dell ohledně prodeje, technické podpory nebo zákaznických služeb, přejděte na adresu dell.com.
Pokud nemáte aktivní připojení k internetu, kontaktní informace naleznete na nákupní faktuře, dodacím listu, účtence nebo v katalogu produktů Dell.

Dokumenty / zdroje

Konfigurace koncového bodu příkazu DELL pro Microsoft Intune [pdfUživatelská příručka Command Endpoint Configure for Microsoft Intune, Endpoint Configure for Microsoft Intune, Configure for Microsoft Intune, Microsoft Intune, Intune

Reference

• Uživatelská příručka